19 votes

water stone avatar

Comment lire les anciennes informations de connexion à l'aide de la commande "last" ?

Demandé el 4 de Avril, 2014
Quand la question a-t-elle été
30842 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

があります。 last peut montrer trop peu de lignes d'informations de connexion de l'utilisateur, tronquées par le moment où le "wtmp begins".

Si je veux obtenir le plus possible last (par exemple, pour voir si mon système a été consulté à partir d'une adresse IP inconnue/suspicieuse en utilisant mon nom d'utilisateur), comment puis-je afficher les anciennes "dernières" informations ?

Si j'utilise last -2000 en ayant l'intention de voir 2000 lignes de sortie, mais la commande peut ne retourner que quelques lignes, tout ce qui s'est passé avant le "wtmp begins" serait tronqué).

Je me demande s'il est possible d'afficher autant de lignes d'informations de connexion que possible.

Demandé el 4 de Avril, 2014 par water stone

Réponses

Trop de publicités?

25voto

Sylvain Pineau avatar
Sylvain Pineau Points 59212

があります。 last utilise le fichier binaire /var/log/wtmp pour afficher une liste des derniers utilisateurs connectés.

Pero /var/log/wtmp est un fichier rotatif où les anciennes entrées sont archivées en /var/log/wtmp.x où x est un chiffre [0-9] .

Donc si vous avez besoin de regarder plus profondément dans l'historique des connexions, essayez d'ouvrir un de ces fichiers :

last -2000 -f /var/log/wtmp.1 | less
Répondu el 4 de Avril, 2014 par Sylvain Pineau (59212 Points )

3voto

Kees avatar
Kees Points 31

Si le dernier -f /var/log/wtmp.1 ne donne pas de résultat, cela peut être dû au fait que la longueur de l'enregistrement a changé dans une version plus récente.

Une option simple serait alors d'utiliser utmpdump à la place :

utmpdump /var/log/wtmp.1  | less

Oh, et less peut être quittée en utilisant q (de "quit" ;-) )

Répondu el 12 de Février, 2019 par Kees (31 Points )

1voto

Daniel avatar
Daniel Points 310

Mise à jour

Connectez-vous

/var/log/wtmp.1

sont contraints.

Ubuntu 16 et probablement 17 disposer d'un mécanisme de suppression des journaux de plus d'un mois. Pour configurer ce comportement, vous devez éditer :

/etc/logrotate.conf

Plus d'informations :

Accès aux journaux de démarrage et d'arrêt.

Répondu el 15 de Juin, 2017 par Daniel (310 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X